Saúde é o setor com maior densidade de dado pessoal sensível no Brasil — prontuário, exame, tratamento, plano. Para ANPD, é prioridade explícita de fiscalização. Multa em saúde acontece, e cresceu nos últimos dois anos. Esse artigo é sobre os casos típicos e como prevenir.
Por que saúde muda o jogo neste tema
A LGPD trata dado de saúde como sensível (art. 5º, II). Isso significa: base legal mais restrita, controle obrigatório mais rigoroso, sanção potencial maior, e exigência específica de consentimento ou outra hipótese específica para tratamento.
Operadora de plano de saúde, rede hospitalar, clínica grande, laboratório, healthtech — todas lidam diariamente com dado sensível em volume. Cada paciente é potencial titular com direitos garantidos. Cada incidente envolvendo dado de saúde tem visibilidade maior.
A ANPD tem priorizado fiscalização em saúde por três razões: alta densidade de dado sensível, alta exposição pública em caso de vazamento, capacidade técnica frequentemente inferior à de bancos ou varejo. Setor é vulnerável em escala.
Acrescenta complicador: regulação setorial (ANS, ANVISA, CFM, Conselho Federal de Medicina) tem suas próprias exigências sobre tratamento de dado de paciente. Quando convergem com LGPD, geram framework denso de obrigações.
Os 3 riscos típicos do setor saúde
Risco 1 — Acesso excessivo a prontuário. Em rede hospitalar típica, encontro centenas de profissionais com acesso ao prontuário eletrônico — médicos, enfermeiros, técnicos, administrativo, faturamento, marketing. Cada acesso desnecessário é violação potencial de LGPD. Auditoria ANPD pega base de acesso e pede justificativa para cada perfil.
Risco 2 — Compartilhamento com terceiros sem base legal adequada. Operadora compartilha dado com prestador, com laboratório, com farmacêutica, com consultoria. Cada compartilhamento precisa ter base legal documentada e finalidade específica. Vi caso de operadora multada em R$ 4,8 milhões por compartilhar lista de beneficiários com parceiro de marketing sem consentimento.
Risco 3 — Vazamento por incidente técnico. Setor de saúde tem maturidade técnica historicamente inferior à de bancos. Ataques de ransomware em rede hospitalar geram exposição massiva de dado sensível. Multa ANPD se soma a impacto reputacional e custo de remediação.
Caso real: uma empresa de saúde
Operadora de plano de saúde do interior, 180 mil beneficiários, R$ 720 milhões em receita. Sofreu ataque de ransomware em março/2024. Vazamento de base com dados de 154 mil beneficiários — CPF, plano, histórico de utilização, em alguns casos diagnósticos.
Sequência de eventos:
- Dia 1: ataque detectado. Bloqueio imediato de sistemas.
- Dia 3: comunicação à ANPD via canal formal.
- Dia 5: comunicação aos titulares via email e SMS, oferta de monitoramento de crédito gratuito.
- Dia 14: laudo forense identifica origem (phishing em conta administrativa sem MFA).
- Mês 3: ANPD instaura processo apuratório.
- Mês 14: decisão da ANPD — multa de R$ 6,2 milhões. Atenuantes (comunicação espontânea, cooperação plena, programa em estruturação) reduziram do valor base inicial de R$ 12 milhões.
Custos adicionais (não multa): R$ 380k em consultoria forense, R$ 220k em monitoramento de crédito para titulares (12 meses), R$ 480k em consultoria jurídica de defesa, R$ 600k em remediação técnica (MFA universal, segmentação de rede, treinamento). Total: R$ 7,9 milhões somando multa e custos.
Impacto operacional: 8% de churn de beneficiários nos 12 meses seguintes, atribuído ao incidente. Em receita: ~R$ 58 milhões em perdas acumuladas de receita ao longo de 3 anos.
Implementação prática em saúde
Programa LGPD em saúde precisa cobrir aspectos específicos do setor:
Mapeamento detalhado de fluxos de dado sensível. Não basta inventário de sistemas — precisa entender o ciclo do dado do paciente. Onde entra, quem acessa, com quem é compartilhado, por quanto tempo é retido, quando é descartado.
Política de acesso baseada em finalidade clínica. Cada perfil de acesso ao prontuário precisa de justificativa específica. Médico assistente: acesso amplo. Auditor médico: acesso a relatórios. Faturamento: acesso a códigos de procedimento, não a anotações clínicas. Marketing: nunca acesso a dado clínico.
Consentimento estruturado para fins não-essenciais. Tratamento (atendimento médico) tem base legal de proteção da vida e contrato. Compartilhamento com parceiros para outras finalidades exige consentimento específico, granular, revogável.
Programa de treinamento contínuo. Profissionais de saúde frequentemente subestimam LGPD ("é só dado médico, sempre fizemos assim"). Treinamento setorialmente adaptado é diferenciador. ANPD valoriza como atenuante.
Resposta a incidente integrada com gestão clínica. Incidente que afeta sistema clínico pode ter impacto na continuidade do cuidado, não só na proteção de dado. Plano de continuidade precisa contemplar ambos.
Cobertura específica para dispositivos médicos conectados. Monitor, bomba de infusão, equipamento de diagnóstico em rede. Cada um é potencial ponto de entrada e potencial ponto de vazamento.
Erros recorrentes específicos do setor
Erro 1 — Tratar dado de saúde como dado comum. Operacionalmente, equipe técnica frequentemente trata prontuário como mais um registro. LGPD trata como sensível. Sanções refletem.
Erro 2 — Confiar em base legal de proteção da vida para tudo. Atendimento médico tem essa base legal. Marketing de produto não tem. Pesquisa de satisfação não tem. Empresa que estica a base legal para uso não-clínico vira problema.
Erro 3 — Compartilhar com prestador sem contrato adequado. Rede credenciada precisa de termo específico de tratamento de dado, com cláusulas LGPD, responsabilidades, controle de subcontratação. Vi operadora multada por compartilhar com 240 prestadores sem cláusula contratual adequada.
Erro 4 — Subestimar o risco de phishing. Profissional de saúde recebe email com link "resultado de exame" e clica. Conta comprometida. Sem MFA, atacante entra. MFA universal em rede de saúde não é luxo.
Erro 5 — Tratar healthtech como diferente de operadora tradicional. Startup de saúde digital frequentemente acha que LGPD se aplica menos por ser "tech". O oposto é verdade — ANPD tem fiscalizado healthtechs com mais frequência, justamente pela maturidade tecnológica inferior à pretensa.
Próximos 90 dias para o responsável em saúde
Para CIO, CISO, DPO ou diretor de TI em empresa de saúde:
Dia 1-15: auditoria de acessos. Extrair lista de usuários ativos no prontuário eletrônico, no sistema de autorização, no sistema de cadastro. Cruzar com base de RH. Remover acessos órfãos. Documentar.
Dia 16-45: revisão de compartilhamentos. Quais terceiros têm acesso a dado? Qual base legal? Qual contrato? Renegociação onde necessário. Termo aditivo padrão.
Dia 46-75: MFA universal para acesso administrativo a sistemas com dado de paciente. Implementação técnica + comunicação + treinamento. Resistência inicial usual; suporte executivo é mandatório.
Dia 76-90: simulação de incidente. Tabletop exercise com equipes de TI, segurança, jurídico, comunicação. Testa protocolo de resposta. Identifica gaps. Documenta. Sem simulação, resposta real em crise vai falhar.
Esses 90 dias representam investimento de R$ 200-500 mil em horas internas e ferramentas. Comparado a multa potencial (R$ 5-20 milhões em caso de incidente material) e custo total de incidente (multiplicado por 3-5x), é seguro barato.
